数通技术(IDM身份管理平台5A功能说明)

Posted 2023-05-27

篇首语：最怕一生碌碌无为，还安慰自己平凡可贵。本文由小常识网(cha138.com)小编为大家整理，主要介绍了数通技术(IDM身份管理平台5A功能说明)相关的知识，希望对你有一定的参考价值。

数通技术(IDM身份管理平台5A功能说明)

IDM身份管理系统为解决企业内部多系统之间的用户信息不一致而开发，主要定位于解决企业在5A功能上的需求，即：Account账号管理、Authentication认证管理、Authorization授权管理、Audit审计管理、App Control应用管控5个方面的实际需求，进而规范用户身份信息，保证系统安全，提高工作效率。

IDM能够实现集团全系统的用户身份信息管理，提供多种认证手段，加强员工身份和权限管理，建立面向集团全体用户的访问控制中心。同时在落地的过程中结合平台建立数据同步、分发对接规范、统一账号管理流程、统一认证体系规范，一方面便于客户信息的统一、规范的管理，另一方面减少员工重复工作量的同时在数据、操作、业务多个层面审计管理，保证数据分发前有审批管理，分发过程中有监管、有管控，分发数据后可追溯回查。

整体介绍

IDM身份管理平台满足对企业信息系统的统一用户管理、统一身份认证、统一授权管理以及安全审计的要求，能够实现各业务系统的统一登录和集中访问，实现用户身份和权限的统一认证与授权管理，为企业不同的业务系统提供统一的用户管理和认证服务。

1.系统架构

IDM主要是实现统一认证、授权、审计管理，提高企业身份认证及访问安全，建立授权流程审批机制，使用户身份信息、授权信息、审批信息等操作更加规范化、标准化，提高整体IT架构的风险防范能力。

消除企业系统间的信息孤岛，为各系统提供统一身份认证、用户身份管理服务，逐步实现系统身份系统的整合，构建面向用户的认证和授权服务，使业务操作更流畅。为简化IT运维提供强大的技术手段和标准，实现账户数据自动化同步操作，同时制定合规的安全服务规范，构建统一的、支撑企业级的认证授权安全服务基础设施。

2.功能架构

IDM主要对组织、角色、人员进行管理，并对其所有的状态进行记录，如：初始化、审批中、已启用、已禁用等，账户统一管理可以实现从HR系统中获取组织用户数据，也可直接在IDM系统中录入数据，用户信息中的部分属性信息根据同步策略由HR系统或其它指定系统同步更新到用户目录，其它用户信息可在应用系统中各自进行维护，通过IDM统一用户信息后，发送到各个业务系统。

3.5A管控

1.统一用户：为用户提供统一集中的帐号（组织/岗位/人员）管理及分发，能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能，也可以通过平台进行帐号密码策略，密码强度、生存周期的设定。

2.统一认证：可以根据用户应用的实际需要，为用户提供统一的身份认证，各系统采用统一认证体系，不同强度的认证方式，既可以保持原有的静态口令方式，又可以提供具有双因子认证方式的高强度认证。

3.统一授权：在IDM管理业务系统下的角色和对应的功能资源（菜单资源、API资源、数据资源），通过对功能资源的角色授权，及下发权限资源的操作，进行业务系统下权限资源的统一管理。

4.统一审计：主要对创建账号的流程审批、授权管理的流程审批、用户使用/访问的日志记录进行审计和分析，不仅可以对用户行为进行监控，还可以通过集中的审计数据进行追溯定位，以便于事后的安全事故责任的认定。

5.应用管控：以用户身份为中心，解决企业当前权限管理面临的开通难、查询难、回收难和管理难的问题，实现企业全景业务权限的集中化、自动化、标准化、安全化、可视化、智能化、合理化、高效化，通过权限画像能力，加速企业权限管理建设，提升安全、效率、体验，降低权限管理与维护成本。

统一账号

为用户提供统一集中的账号（组织、人员、岗位）管理及分发，实现员工入职、离职的一键式同步及分发，一方面解决员工账号在多个系统需要重复录入问题而造成的冗余工作，提升员工的工作效率；另一方面避免因系统各异，账号系统账户管理各自为战，无法从集团层面进行统一管控。

1.业务场景

企业一般用户是以人力部门为标准，一般是以HR为源头，通过IDM接收接口将组织、人员、岗位信息同步到IDM中，在IDM进行统一管理，然后通过分发接口分发到下游各个业务系统。

2.相关功能

1.组织管理：管理组织的相关信息，可以对组织信息进行增删改查操作，修改组织信息后可以生成对应的任务将对应的组织信息分发到对应的系统。

2.岗位管理：对岗位信息进行管理，通过生成任务的方式下发到各个业务系统。

3.人员管理：管理人员的相关信息，通过点击左侧组织列表可以查询对应组织或角色下的人员信息，通过生成任务的方式下发到各个业务系统。

3.功能特性

1.扩展性：支持字段扩展,适配业务系统分发必要内容；按钮扩展实现服务、流程调用，流程扩展适配多种流程形式。

2.场景丰富：支持组织、岗位变动调整、人员的入转调离，系统数据初始化导入，业务系统权限集成。

3.灵活集成：提供业内标准对接接口，支持多种服务对接调用，扩展按钮、流程支持服务、接口对接、调用。

统一认证

为用户提供统一的身份认证，各系统采用的统一认证体系，实现用户一次性登录，只需要输入一次用户名及密码即可实现全部业务系统登录，避免由于员工在业务处理过程中因为工作需要频繁的在不同系统中进行登录及退出。

1.业务场景

IDM认证功能包含标准CAS、OAuth、模拟表单、AD域、LDAP等多种认证模式。支持多个安全级别的身份认证方式，参与的各个应用系统和受保护资源可以根据自身的安全需要设置安全等级；支持多种认证方式的组合认证；支持密码策略的统一化管理。

2.相关功能

业务系统在系统登录认证时，向IDM身份管理平台发起请求URL跳转至IDM统一认证登录页面，带有系统编码、系统密码、返回的URL地址，IDM系统认证后跳转至redirect_uri中，同时带有code信息。

1.系统请求认证：

（1）调用地址：

（2）入参说明：

（3）出参说明：

2.获取认证票据：

（1）调用地址：

（2）入参说明：

（3）出参说明：

3.获取用户信息：

（1）调用地址：

（2）入参说明：

（3）出参说明：

3.功能特性

1.易用性：支持多种认证方式，易认证；功能模块化设计，易管理。

2.开放性：提供Oauth、SAML、CAS等标准协议认证接口，支持多种协议认证，同时平台提供各种标准数据接口、灵活支持集成与被集成。

3.稳定性：认证支持高并发（5000+）、高可用（十万级同时在线），具备分布式、缓存、异步处理、云平台扩展机制。

统一授权

统一授权实现对数据的操作管理、任务审批、数据分发进行管理，包括对组织、用户、角色需要同步的任务操作、流程审批后通过企业服务总线实现的业务系统中的同步分发、对操作进行监控统计等功能，保证了业务资源和数据资源访问权限可以进行集中管控，通过对角色、组织、用户关联关系的建立以及授权的分配，形成了完整的授权体系。

1.业务场景

实现统一授权后，用户可以通过应用配置实现单点登录、登出，并且登录认证采用的是SSO等主要单点登录模式，在架构上支持SSO的扩展，同时满足对用户的资源访问权限进行集中控制。各个系统的入口和功能菜单与用户、角色关联分配权限，完成授权，形成权限控制表。

2.相关功能

1.功能资源：管理各个业务系统的功能资源相关信息，包括功能菜单、控制器信息、操作信息等。

2.数据资源：主要对各个应用系统下的通用枚举类数据进行管理，页面左侧为数据分组树形菜单（可编辑），右侧为该分组下的数据列表信息，可以通过切换应用系统显示不同应用系统下的数据信息。

3.接口资源：接口资源主要是对各个应用系统下的接口信息进行管理，页面左侧为接口分组树形菜单（可编辑），右侧为该分组下的接口列表信息，可以通过切换应用系统来显示不同应用系统下的接口信息。

4.授权管理：授权管理模块主要为各个应用系统的不同权限资源建立和标准角色、实际角色、人员、组织的关联关系。分为功能菜单、数据资源、API接口三个标签，分别为这三个权限资源赋予权限。

3.功能特性

1.安全性：实现三权分立，可进行分级授权，平台预置报警、预警策略配置；底层具备拦截XSS攻击、防止SQL注入等机制。

2.支持按用户、组织机构分配角色，支持角色增删改查和应用权限分配。

3.满足对用户的资源访问权限进行集中控制。

统一审计

IDM平台提供了平台的监控功能，提供系统在线监控，对系统的运行信息进行监控管理，并支持系统运行状况、操作情况进行统计、分析和告警，提供各类日志管理。

1.业务场景

在IDM中可以查看一些操作的日志，包括认证日志、IDM系统访问日志、异常操作日志、登录日志查询等，日志支持有效期设定和自动归档，不仅可以对用户行为进行监控，还可以通过集中的审计数据进行追溯定位，以便于事后的安全事故责任的认定，支持审计信息的分析统计，其结果能够以报表或图形的方式进行展现。

2.相关功能

1.认证日志：主要记录用户登录IMD系统的认证信息。

2.同步日志：主要记录了数据源系统数据发送至IDM时的状态成功或失败，从而与数据源系统管理人员交互解决人员同步问题。

3.分发日志：主要用于记录工作任务内操作分发业务系统的结果，可以根据系统列表、分发状态、起止时间等条件进行查询。

4.密码日志：记录用户修改密码的相关信息，统计并记录密码分发情况，同时为分发失败的系统提供再次分发的方法。

5.系统日志：主要记录用户操作IDM系统的日志信息。

3.功能特性

1.监控能力：对认证、管理、同步、分发、权限、任务等数据监控，提供预警、提醒多种通知方式配置。

2.高效率：预置缓存处理机制，接口、流程支持异步操作，认证、同步分发等服务支持高并发。

3.结合BPM发挥工作流作用，实现对创建账号、授权管理时的流程审批功能。

应用管控

以用户身份为中心，解决企业当前权限管理面临的开通难、查询难、回收难和管理难的问题，实现企业全景业务权限的集中化、自动化、标准化、安全化、可视化、智能化、合理化、高效化，通过权限画像能力，加速企业权限管理建设，提升安全、效率、体验和降低权限管理与维护成本。

1.业务场景

应用管控是针对应用系统的分发权限（用户、组织、岗位哪些系统有权限）、应用系统的认证配置、应用系统的访问权限进行统一管控，实现IDM和其他系统的集成管理、用户管理以及认证管理。

2.相关功能

1.基础管理：在基础管理模块可以为组织、人员、岗位配置应用系统权限。

2.统一权限：可以管理各个应用系统的权限资源信息，并进行授权操作。

3.功能特性

1.对当前系统用户认证情况、分发、权限、账户情况进行统一管控。

2.加速企业权限管理建设，提升安全、效率、体验和降低权限管理与维护成本。

3.以用户身份为中心，解决企业当前权限管理面临的开通难、查询难、回收难和管理难的问题

心得体会

在学习IDM身份管理平台的过程中，自己的技术能力与产品理解等多方面都得到了很大提升，并且有了很多感悟，现在将我在本次工作中的收获总结如下。

1.工作收获

通过本次对于IDM功能的使用，学习了IDM的各种功能，对于这些功能的使用更为熟练，而在流程开发的过程中，通过解决出现的一些问题的时候不断思考，逻辑思维能力也得到了提升，同时对于实际项目的开发场景也更为了解，明白了IDM的各项功能在实际场景如何进行使用。

2.能力提升

在IDM功能的使用过程中，随着对于产品的不断使用，使我对于产品的操作更加熟练，同时也加强了对于产品的了解，使我的技术能力有了明显的提升，同时也明白了对于产品的理解不能浮于表面，要深切的结合到实践中进行业务上的理解，只有这样才能在项目中做到得心应手。

另外在工作过程中要不断学习和总结，只有这样才能不断提高自身的能力。

3.价值分析

通过IDM身份管理平台可以建立统一认证平台，基于底层信息化系统满足企业业务管理需求，提供用户整个生命周期的管理、用户账号的统一管理以及用户属性的统一管理，并为各个应用系统提供安全的服务与支持。

统一管理主要对群组、用户、角色进行统一管理，包括账户间的状态记录、关联关系、角色授权等功能，确保用户账户使用和管理的安全性。通过统一用户、统一认证、统一权限、统一审计、统一应用管控，实现对集团整体系统的集成和认证，并持续提供辅助和支撑。

本文由@数通畅联原创，欢迎转发，仅供学习交流使用，引用请注明出处！谢谢~